終端賬號安全不容忽視

引言：伴隨著信息化技術的日益發展，網絡已成為很多單位賴以生存的重要資源，不過，越來越多的網絡安全風險卻成為單位面臨的重大難題。盡管有不少安全風險來自外網環境，但有資料表明，在所有安全事件中，由終端賬號引起的內網安全事件，所占比例正逐步上升。

伴隨著信息化技術的日益發展，網絡已成為很多單位賴以生存的重要資源，不過，越來越多的網絡安全風險卻成為單位面臨的重大難題。盡管有不少安全風險來自外網環境，但有資料表明，在所有安全事件中，由終端賬號引起的內網安全事件，所占比例正逐步上升。很顯然，為了保障單位內網安全，我們需要高度重視終端系統的賬號使用安全。現在，本文就從終端系統著手，總結幾則安全使用賬號的技巧！

監控賬號創建安全

要是終端系統接入到局域網或Internet網絡中時，那么網絡中一些惡意程序可能會通過網絡連接，在終端系統中偷偷創建非法用戶賬號，日后它們就會利用該非法賬號控制或監控終端系統的運行狀態了。為了保護終端計算機系統的運行安全，我們可以加大監控力度，自動監控用戶賬號的創建狀態，日后如果有陌生用戶賬號私下創建時，管理員可以在第一時間發現。

以Windows 7系統為例，在監控賬號創建安全時，依次單擊“開始”、“運行”命令，展開系統運行對話框，輸入“secpol.msc”命令，開啟系統安全策略編輯器運行狀態。將鼠標定位于左側列表中的“本地策略”分支上，再選中指定下的“審核策略”、“審核賬戶管理”選項，通過雙擊鼠標方式打開選項設置框，選中“成功”、“失敗”選項，單擊“確定”按鈕保存設置操作。

接著用鼠標右鍵單擊Windows系統桌面上的“計算機”圖標，選擇快捷菜單中的“管理”命令，展開計算機管理窗口，依次展開“系統工具”、“本地用戶和組”、“用戶”選項，同時用鼠標右擊“用戶”選項，并執行快捷菜單中的“新建用戶”命令，打開新建用戶對話框，在其中任意創建一個用戶帳號。

之后進入Windows系統的控制面板窗口，逐一展開“管理工具”、“事件查看器”，切換到Win7系統事件查看器窗口，逐一跳轉到該窗口左側顯示區域中的“Windows日志”、“安全”分支上，隨后在“安全”分支下找到先前任意生成的用戶帳號。用鼠標右鍵單擊這個用戶賬號，單擊快捷菜單中的“將任務附加到此事件”命令，這個時候系統屏幕上會展開附加任務向導設置對話框，依照向導提示，逐一定義好報警方式、報警內容，再按“完成”按鈕即可。日后，即使網絡中的惡意程序悄悄在終端計算機系統中創建了非法用戶賬號，系統屏幕上會立即出現警報信息，根據具體的提示內容，就能識別出當前時刻是否有非法用戶賬號創建了。

強制賬號密碼安全

大家知道，現在很多終端系統由于默認存在許多安全漏洞，它遭遇病毒、木馬攻擊的可能性十分大，而病毒木馬又會通過網絡登錄方式進行傳播、擴散，所以限制終端系統隨意通過網絡進行登錄或共享，是保護終端系統安全的重要途徑之一。

要做到這一點，首先要強制用戶賬號必須使用復雜密碼。只要依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。逐一跳轉到編輯器左側區域中的“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“賬戶策略”、“密碼策略”節點上，雙擊指定節點下的“密碼長度最小值”選項，展開密碼長度最小值設置對話框，輸入“8”或更大的數值，單擊“確定”按鈕后，用戶賬號密碼最小位數將不能低于8個字符。

接著要讓賬號密碼不斷變化，以防別人輕易猜中。將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“賬戶策略”、“密碼策略”節點上，雙擊指定節點下的“密碼最長使用期限”組策略選項，打開組策略屬性框，輸入定期變換密碼內容的間隔時間，例如輸入“30”，單擊“確定”按鈕后退出設置對話框。這樣，終端計算機系統日后會每隔30天就提示用戶更改密碼內容。

第三強制使用賬號鎖定功能。如果賬號密碼設置得不夠復雜時，非法用戶很可能會通過暴力破解方式，“猜”出登錄密碼而進行惡意操作，這樣就會存在相當大的安全風險。那如何來防止非法用戶猜解或者爆破遠程連接密碼呢？很簡單！可以強制啟用賬號鎖定功能。在系統組策略編輯窗口左側區域，將鼠標定位到“本地計算機策略”、“計算機設置”、“Windows設置”、“安全設置”、“賬戶策略”、“賬戶鎖定策略”節點上，雙擊指定節點下的“賬戶鎖定閾值”組策略，在其后對話框中設置好觸發用戶賬號被鎖定的登錄嘗試失敗次數，該數值范圍在0到999之間，默認為“0”，也就是說，系統默認不限制登錄次數。管理員可以依照工作實際，輸入賬戶鎖定次數，日后輸入錯誤密碼次數超過規定后，對應用戶賬號就會被強行鎖定起來。

保障賬號盜用安全

在進行遠程網絡連接的時候，惡意用戶有時會通過Windows系統缺省的Administrator賬號和Guest賬號，對重要終端系統進行登錄測試，要是登錄測試成功，將會繼續通過不同形式來非法提權，以竊取重要終端系統的所有操作權限。為了保障賬號盜用安全，建議大家將缺省的用戶賬號名稱調整為其他名稱，以防止它們被非法用戶輕松盜用。

例如，要調整“Administrator”賬號的用戶賬號名稱時，可以逐一單擊“開始”、“運行”命令，展開系統運行文本框，在其中執行“secpol.msc”命令，進入系統安全組策略控制臺窗口。在左側顯示窗格中，逐一跳轉到“安全設置”、“本地策略”、“安全選項”節點上，找到指定節點下的“帳戶：重命名系統管理員帳戶”選項，同時用鼠標雙擊之，彈出組策略選項設置框，在這里輸入其他復雜一些的賬號名，比方說輸入“5aiwojia”，再單擊“確定”按鈕保存設置即可。

除了“Administrator”賬號會被盜用外，“Guest”賬號也容易被盜用，因為該賬號盡管操作權限不高，但它多數時候處于啟用狀態，被非法利用的機率很高，例如，惡意用戶可以將該賬號添加到管理員組，來進行以后的提權攻擊，所以通過修改該賬號名稱就能預防類似攻擊。在進行改名操作時，先進入終端系統安全組策略控制臺窗口，將鼠標定位到“安全設置”、“本地策略”、“安全選項”分支上，雙擊指定分支下的“帳戶：重命名來賓帳戶”選項，在其后界面中設置好新的名稱，確認后保存設置即可。

嚴控賬號權限安全

一些非法用戶常常會通過系統漏洞，偷偷與特定終端系統建立遠程連接，再借助一些技術措施竊取系統管理員權限，打開遠程桌面窗口，對特定系統進行非法操作。為了避免這種不安全現象，可以嚴格限制用戶賬號的遠程桌面使用權限，僅允許特定的管理員賬號才能進行遠程桌面連接，其他用戶賬號無權享受遠程桌面權限。因為遠程桌面窗口打開操作與“explorer.exe”程序訪問權限有關，如果只將該程序的讀取權限授權特定用戶賬號，就能實現上述控制目的。

在進行該操作時，先進入系統資源管理器窗口，選中“C:Windows”目錄下的“explorer.exe”程序，打開它的右鍵菜單，點選“屬性”命令，選擇屬性對話框中的“安全”選項卡，刪除對應選項頁面中的所有用戶賬號。按下“添加”按鈕，切換到賬號選擇對話框，導入可信用戶賬號，將其“運行”、“讀取”權限修改為“允許”，單擊“確定”按鈕退出設置對話框。上面的設置操作，僅對沒有運行的“explorer.exe”程序有效，如果該程序已經被調入內存時，那必須通過微軟自行開發的“Process Explorer”工具來設置。打開該工具主操作界面，點選其中的“explorer.exe”程序，從該程序右鍵菜單中選擇“Properties”命令，之后進入“Security”面板，單擊“Permissions”按鈕，在這里就能將“explorer.exe”程序訪問權限，授予合法、可信用戶賬號了。這樣，日后只有合法可信用戶賬號才能夠擁有遠程桌面權限，其他賬號即使已創建好遠程桌面連接，也不能打開桌面窗口進行非法攻擊。

為了防止一些終端賬號從低版本系統中，隨意遠程登錄重要主機系統，建議為它們賦予帶網絡驗證的遠程桌面權限，這能避免低版本系統中的病毒感染給高版本系統。例如，在Win7系統中進行該操作時，可以右擊Windows系統桌面上的“計算機”圖標，點選右鍵菜單中的“屬性”命令，進入系統屬性對話框，單擊“遠程設置”按鈕，展開遠程設置界面，勾選“只允許運行帶網絡級身份驗證的遠程桌面的計算機連接”選項，單擊“確定”按鈕保存設置即可。

此外，要是允許空白密碼用戶賬號隨意登錄終端系統，也容易給非法用戶帶來入侵機會。為了保護終端系統安全，建議在重要終端系統中，僅能授予空白密碼用戶賬號控制臺登錄權限，不能授予其他操作權限：依次單擊“開始”、“運行”命令，在彈出的系統運行對話框中，輸入“gpedit.msc”命令，開啟系統組策略編輯器運行狀態。將鼠標定位到“本地計算機策略”、“計算機配置”、“Windows設置”、“安全設置”、“本地策略”、“安全選項”分支上，找到指定分支下的“賬戶：使用空白密碼的本地賬號只允許進行控制臺登錄”選項，通過雙擊鼠標方式，切換到如圖1所示的選項設置對話框。勾選“已啟用”選項，單擊“確定”按鈕退出設置對話框即可。

圖1 選項設置對話框

管理隱藏賬號安全

一些黑客、木馬擅長使用的攻擊方法，就是悄悄在終端系統創建隱藏賬號，并通過它進行各種非法操作，該方法有很強的隱蔽性，可以躲避殺毒軟件之類的專業工具來查殺。為此，我們必須加強對系統隱藏賬號的管理，確保隱藏賬號的使用安全！

圖2 結果界面

普通的隱藏賬號，往往會在賬號名后面添加“$”后綴，來達到賬號隱藏目的，黑客、木馬創建好隱藏賬號后，可能會悄悄將其提升為系統管理員權限，保證能通過該賬號進行各種非法操作。如果想刪除陌生隱藏賬號，可以依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“cmd”命令，在DOS命令行窗口的命令提示符下，執行“net localgroup administrators”命令，將所有具有系統管理員權限的隱藏賬號統統顯示出來。比方說，在如圖2所示的結果界面中，我們找到一個用戶名為“aaaa$”的隱藏賬號，要將其從系統中刪除時，可以在DOS命令行窗口下輸入“net user aaaa$ /delete”命令即可。

要是對DOS命令不太熟悉，也可以進入計算機管理窗口，依次跳轉到“本地用戶和組”、“用戶”節點上，在指定節點下就可以很清楚地發現包含“$”后綴的隱藏賬號。這個時候，用鼠標右擊特定隱藏賬號，點選右鍵菜單中的“刪除”命令，就能快速將選中的隱藏賬號刪除掉了。當然，也有一些隱藏賬號比較特別，既無法從DOS命令行窗口中發現它的“身影”，也無法從計算機管理窗口中發現它的“身影”，只能從日志文件中找到它們的痕跡。這些特別的隱藏賬號，不能對它們直接執行刪除操作，只能在DOS工作窗口中輸入“net user aaaa$9876”之類的命令，調整它們的賬號密碼，讓其無法繼續生效。

還有一些隱藏賬號，會躲藏在系統注冊表中，要將它們刪除掉時，可以先打開系統注冊表編輯窗口，從中 找 到“HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames”注冊表分支，在指定分支下可能會看到其他一些隱藏賬號。用鼠標右鍵單擊特定隱藏賬號，從彈出的右鍵菜單中點選“刪除”命令即可。